2023年12月13日,国家互联网信息办公室和香港创新科技及工业局联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同指引》(以下简称“《大湾区标准合同指引》”)[1],其中提出的粤港澳大湾区(内地、香港)个人信息跨境流动新模式引起广泛关注,该模式具有普遍适用性,相比此前数据出境安全评估、标准合同、个人信息跨境处理认证(PIPCB)三种路径,合规义务、工作流程等均简化不少,对促进两地数据合法合规自由流通有显著促进作用。
其中,《大湾区标准合同指引》第五条明确了跨境前开展个人信息保护影响评估(PIA)的要求,该要求也被业界广泛讨论。本文就粤港澳大湾区(内地、香港)个人信息跨境流动PIA工作所关注的要点和实施思路提出以下观点,供参考。
一、三个文件对PIA工作内容的界定异同
就个人信息出境/跨境,《个人信息保护法》《个人信息出境标准合同办法》[2]《大湾区标准合同指引》均对PIA提出了要求,其内容如下:
个人信息 保护法 | 个人信息出境 标准合同办法 | 大湾区 标准合同指引 | |
评估内容 | (一)个人信息的处理目的、处理方式等是否合法、正当、必要; | (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; | (一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性; |
(二)对个人权益的影响及安全风险; | (二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; | (二)对个人信息主体权益的影响及安全风险; | |
(三)所采取的保护措施是否合法、有效并与风险程度相适应。 | (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 | (三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。 | |
评估管理 | 向境外提供个人信息,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录; | 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估; 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交个人信息保护影响评估报告。 | 通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估。 |
个人信息保护影响评估报告和处理情况记录应当至少保存三年。 | (标准合同内容)保存个人信息保护影响评估报告至少 3 年。 | (标准合同内容)保存个人信息保护影响评估报告至少 3 年。 |
基于以上信息对比,首先,从评估内容来看,与其说《大湾区标准合同指引》提出的重点评估内容相比《个人信息出境标准合同办法》进行了简化,倒不如说《大湾区标准合同指引》是对《个人信息保护法》相关条款的对应和细化。三个方面的评估内容与《个人信息保护法》提出的三方面基本对齐,责任主体方面,因跨境情形的特殊性,处理者和接受方均需对处理个人信息的目的、方式等的合法性、正当性、必要性进行确认;保护措施方面,接收方承诺承担的义务,以及履行义务的管理和技术措施、能力则是关注的要点。内容表述上的不同之处,主要是《个人信息保护法》提出的“是否与风险相适应”和《大湾区标准合同指引》提出的“能否保障跨境提供的个人信息安全”,从字面意思理解,虽然一个强调风险管理,另一个强调给出结论,但实施层面均是通过加强安全保障措施以达到风险可控和安全保障的目标,在评估过程中所关注的内容均为接收方采取的安全保障措施,并无差别。
其次,从评估管理方面来看,《大湾区标准合同指引》和《个人信息出境标准合同办法》最大的区别是无需将PIA报告进行备案,这一点和《个人信息保护法》的要求所对齐。此外,《个人信息保护法》所提出的“个人信息保护影响评估报告和处理情况记录应当至少保存三年”的要求虽然没有在《大湾区标准合同指引》和《个人信息出境标准合同办法》中提及,但在标准合同模板的内容中予以明确。
此外,《个人信息保护法》提出的处理情况记录保存三年,处理情况记录在PIA报告的内容中通常有所体现。《大湾区标准合同指引》和《个人信息出境标准合同办法》均规定,以标准合同方式向境外提供/跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,需要重新开展PIA,PIA报告更新后,处理情况记录也会更新,只不过PIA报告中的处理情况记录是否完整、实际处理情况记录是否与报告内容相一致需要引起关注。
总之,《大湾区标准合同指引》提出的PIA工作开展思路与《个人信息保护法》相似度高,这一点将对“粤港澳大湾区(内地、香港)个人信息跨境流动”情形下的PIA(以下简称“粤港跨境PIA”)工作的开展思路和方法产生影响。
二、从“备案”到“备查”,PIA工作有哪些注意点?
《大湾区标准合同指引》所提出的PIA报告无需备案,让合规人员感觉“压力骤减”,但也可能造成对PIA工作忽视的情形,以下注意点仍需引起合规人员高度重视。
(1)无需备案仅是简化工作流程而非弱化PIA的作用
PIA从本质上来讲就是“安全关口前移”的风险预防机制,之所以强调事前开展,就是要在个人信息处理产生价值的同时,把个人信息处理对个人权益的影响和安全风险降到最低。毋庸置疑,履行PIA义务依然是《个人信息保护法》下的强制性义务,是粤港澳大湾区(内地、香港)个人信息跨境流通的必要条件,《大湾区标准合同指引》的附件2承诺书(模板)中,也将事前3个月内完成了PIA作为承诺事项,因此,PIA的作用并未因为备案工作流程的简化而予以削弱,PIA报告仍需按时完成方可达到合规要求。
(2)“报告备案”和“报告备查”有何异同?
“报告备案”顾名思义是将完成的报告完整保留在相关主管部门,以备随时查阅;而“报告备查”是将完成的报告妥善保管,在主管部门需要调取查阅时再提供。之所以大家会认为有所区别,核心在于备案过程可能涉及到报告的审核环节,将可能拖慢工作进程。相比于备案,备查更像是一种事中和事后监督机制,但何种时间、何种情形会触发主管部门检查,其实值得关注。比如,是否在标准合同备案过程中也会面临抽查?是否在持续监督过程中被随机抽查?是否在出现安全事件、被投诉举报后被检查?如果被检查时,个人信息处理者无法立即提供PIA报告或提供的PIA报告内容缺失、风险分析过程不够全面、评估结论说服力不够等,将可能被直接认定为未有效履行法定义务。备案过程中的报告审核虽然耗时耗力但合规方面有所保障,反而备查面临的不确定性和合规压力可能更大,因此,虽然备查的PIA报告无需提交,但PIA工作方法的规范性、PIA报告质量仍需引起高度重视。
(3)对粤港跨境PIA的工作思路和方法有何影响?
PIA作为有效保障个人权益、降低个人信息处理风险的重要机制,无论在国际还是国内均被广泛认可,且均将其上升至个人信息处理者的法定业务,但是,法律法规通常仅给出PIA的触发条件、基本要求、核心内容,而非完整的工作思路和方法。实务工作中,合规人员通常会以监管部门关注的结果为导向,而选择PIA的工作思路和方法。以《个人信息出境标准合同办法》为例,后续发布的《个人信息出境标准合同备案指南(第一版)》[3]给出了个人信息出境标准合同模式下“个人信息保护影响评估报告模板(出境版)”,给合规人员提供了个人信息出境PIA的具体工作方向。而“大湾区标准合同指引”中并未提出PIA报告模板,这就给粤港跨境PIA工作如何开展留下了“自决”的空间。
如本文第一节分析,由于粤港跨境PIA无需对境外政策和法规进行分析、大湾区标准合同指引中明确限制了不得向粤港澳大湾区以外的组织、个人提供,粤港跨境PIA的评估重点内容有所简化,与《个人信息保护法》相似度高,可以说,粤港跨境PIA的工作思路和方法和《个人信息保护法》第五十五条中“委托处理个人信息、向其他个人信息处理者提供个人信息”场景下的PIA相近。近年来,组织在开展“委托处理个人信息、向其他个人信息处理者提供个人信息”场景的PIA过程中,国家标准GB/T 39335《信息安全技术 个人信息安全影响评估指南》(简称:GB/T 39335)成为了工作思路和方法的重要参考依据。GB/T 39335给出的对个人信息主体权益影响进行分析的方法,是从限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损四个方面进全面分析,并结合对已采取网络环境和技术措施(技术方面)、处理流程规范性和参与人员及第三方(承诺义务和管理方面)、处理规模和安全态势的分析,从而得出个人信息安全能否有效保障、风险是否可控的结论。GB/T 39335延续了国际通用的PIA方法、结合了我国法律法规的具体规定,与GB/T 35273《信息安全技术 个人信息安全规范》等国家标准相配套,已在各行业领域、个人信息保护相关国推认证广泛应用,对粤港跨境PIA实施有着重要参考意义。
(4)港至粤跨境PIA工作该如何开展?
由于香港《个人资料(私隐)条例》中的个人信息跨境相关规则并未实质实施,从香港向内地跨境提供个人信息,组织可自愿选择基于《大湾区标准合同指引》签署标准合同[4],标准合同第二条(八)明确个人信息处理者需开展PIA并保存PIA报告至少3年,标准合同附件2的承诺书中对先开展PIA再备案予以强调,因此一旦组织选择签署“大湾区标准合同”,则PIA工作不可避免。港至粤的跨境PIA与粤至港PIA有所不同.
一是,从《大湾区标准合同指引》中明确的个人信息处理者及接收方接受属地监管机构的监督管理的逻辑出发,位于香港特别行政区的组织(以下简称“港方组织”)将面对属地监管机构监督管理,依据本地区法律法规开展PIA工作是首选思路,但是香港《个人资料(私隐)条例》中未明确PIA或类似工作的要求和方法,当下,组织不得不考虑参照国际通行或者更适用于港至粤个人信息跨境的PIA方法;
二是,《大湾区标准合同指引》第二条(八)中所提出的PIA内容是我国《个人信息保护法》框架下的内容,位于香港特别行政区的组织属于签署合同自愿履行合同义务,且评估的重点对象是接收方的安全保障能力,而接收方位于内地,接收方应当遵循内地个人信息保护法律法规。因此,就当下来看,港至粤个人信息跨境的PIA宜选择内地个人信息保护法律法规和相关标准提出的方法,所形成的PIA报告也更适用于“粤港澳大湾区(内地、香港)个人信息跨境流动”这个特定情形。
对于《个人资料(私隐)条例》中个人信息跨境相关规则未实施的背景下,港至粤个人信息跨境是直接遵循条例还是鼓励通过签署标准合同,还有待继续跟踪关注香港相关方通过“先行先试”活动(该活动意向书提供了港方组织作为个人信息处理者的选项)所进一步披露的信息和指导意见。
三、对粤港跨境PIA的实施建议
(1)PIA场景如何拆解将成为实施关注的首要问题
《大湾区标准合同指引》具有普遍适用性,也就是除重要数据以外,所有数据的跨境仅需以签署标准合同及备案为前提即可,不受系统规模、数据量、业务形态等等限制,这将可能导致很多组织重新规划涉及数据跨境的信息系统和业务部署,以便于开展跨境业务及节省成本。有一种可能就是,组织从此前的“尽量不跨境”演变为“积极拥抱跨境”,组织会从整体规划视角,将标准合同涉及的场景尽可能扩大,以避免后续反复备案对业务效率产生影响。该情形下,粤港跨境PIA的评估范围也将变成“整体评估/混合场景评估”。开展PIA时,首要问题是要根据“目的、范围、种类、方式、接收方用途”等要素对个人信息跨境场景进行拆解,否则在开展评估过程中容易出现对象不明、权益影响和风险分析不清等情形。当然,在评估中涉及到接收方的一些安全保障措施,如果适用于所有场景,可以复用保障措施分析的结果。最终呈现的PIA报告内容,可根据场景的关联度综合考虑,如果不同情形“目的、范围、种类、方式、接收方用途”的关联度不高,则建议根据不同情形给出相应的分析结论。
(2)PIA宜辨识单向跨境流动和双向跨境流动情形
《大湾区标准合同指引》之所以为“跨境”而非“出境”,是因为跨境包括了双向流动,而出境为单向流动。当然,不同组织因其业务模式、系统架构等不同,存在个人信息仅单向跨境和个人信息双向跨境两种情形,由于粤港两地个人信息保护法律基础不同,细分的话则可拆分为“粤至港”“港至粤”“粤至港且港回传粤”“港至粤且粤回传港”四种情形,随着粤港澳大湾区持续深化合作,以及政策赋予的数据跨境的便利措施,相信双向跨境的情形会不断增加。国家网信办发布的《数据出境安全评估申报指南(第一版)》中指出,“数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出”属于数据出境行为,那么存储在粤的个人信息被港方组织、个人访问等行为可被认为是粤至港的个人跨境行为,粤港两地之间的业务来往频繁则很可能涉及个人信息双向跨境情形。单向跨境流动的PIA方法较为明确,前文已述,对于双向跨境,则需要在开展PIA前进一步梳理逻辑关系,个人信息处理者(跨境提供方)和接收方应当密切联动,以确保PIA工作得以全面、准确开展。
对于“粤至港且港回传粤”情形,根据《大湾区标准合同指引》,粤方组织作为提供方应当完成PIA并在属地备案,港方组织作为接收方也需在属地备案。如涉及港向粤回传个人信息的情形时,且港方组织自愿选择签署标准合同进行个人信息跨境,则同样需要事先完成PIA才能在属地备案。如果上述提供和回传个人信息为同一个跨境业务所需,则PIA中对“个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性”,以及“对个人信息主体权益的影响”等内容趋向一致,只是在双方各自扮演“接收方”角色时,其承诺义务和安全保障能力需要各自评估。此情形下,PIA工作过程可由双方相互支撑开展,PIA报告的内容也可考虑体现双向跨境情形,以进一步对齐信息和避免重复劳动。
对于“港至粤且粤回传港”情形,如果港方组织仅基于《个人资料(私隐)条例》而并未选择签署标准合同向粤方组织跨境提供个人信息(该情形有待观察,理由见本文第二章第(4)节),则该情形相当于“粤至港”情形,由粤方组织完成PIA并在属地备案即可。如港方组织选择了自愿签署标准合同,则该情形下开展双向跨境的PIA的策略与上个情形一致。
此外,由于部分粤港双向跨境的情形复杂性高,选择通过“个人信息跨境处理活动安全认证(PIPCB)”是确保复杂场景能够合规的一种可行路径,建议予以持续关注。
(3)PIA实施中需要关注的要点和难点
如本文第二节分析,粤港跨境PIA的工作思路和方法和“委托处理个人信息、向其他个人信息处理者提供个人信息”场景下PIA的思路和方法相近,但在实施中,还需要关注以下方面:
一是,对个人信息跨境的基本情况要描述完整、清晰。
由于《大湾区标准合同指引》中对PIA的要求予以简化,且并未给出报告模板,个人信息处理者可自行选择PIA的工作方法和报告模板。根据GB/T 39335,开展PIA前需要进行数据映射分析,以识别待评估的个人信息处理活动,就粤港跨境PIA来说,即对个人信息跨境的基本情况予以梳理,对此,建议基本情况至少包含“大湾区标准合同”附件1“个人信息跨境提供说明”中的内容。在PIA过程中,还可以进一步确认基本情况是否准确,以免在标准合同中出现填写错误的情况。此外,还建议参考《数据出境安全评估申报指南(第一版)》附件5“个人信息保护影响评估报告(模板)(出境版)”中 “(二)个人信息出境涉及业务和信息系统情况”和“(三)拟出境个人信息情况”的相关内容,以进一步完善个人信息跨境的情况,为个人权益影响和安全风险分析提供支撑。根据《个人信息保护法》第56条“个人信息处理情况记录应当至少保留三年”的要求,在PIA报告中全面、细致、准确描述个人信息处理情况,是记录个人信息处理情况的一种重要形式,对于作为个人信息跨境提供方的粤方组织来说,也算是履行了《个人信息保护法》第56条的相关要求,可谓一举两得。
由于《大湾区标准合同指引》允许签署标准合同的接收方可根据业务需要,在取得个人同意的前提下向内地或香港特别行政区同辖区内其他组织提供个人信息,因此当开展PIA过程中描述个人信息处理情况时,对第三方基本情况描述至少包含“大湾区标准合同”第三条(八)中“第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序(如访问路径、联络方式等)”等内容,以保证描述信息的完整性以及PIA评估内容的全面性。在填写“大湾区标准合同”附件1“个人信息跨境提供说明(五)接收方只向注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息(如适用)”内容时,PIA报告中的信息可作为填写内容的重要参考。
二是,对个人信息主体权益的影响分析要具体、有针对性。
对个人权益的影响分析是一直是开展PIA过程中的难点,此前个人信息出境所开展的PIA工作,由于常见的出境个人信息种类有限,涉及出境的业务类型相对固定,对个人权益影响分析容易出现“僵化”“固化”情况,进而影响到风险分析的合理性、准确性。对于粤港个人信息跨境而言,如上文所分析,在跨境便利措施的促进下,粤港个人信息跨境的场景将可能呈现多元化情形,不同的情形涉及不同种类的个人信息、不同的处理目的和方式,对个人权益影响的方面、程度将带来较大区别。建议根据GB/T 39335给出的对个人信息主体权益影响进行分析的方法,从限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损四个方面进行全面分析。同时,宜明确权益影响最为突出的方面,为后续分析安全风险打下基础。此外,关于影响程度的判断,可以综合考虑个人信息处理者(提供方)和接收方双方的观点,一方面提升分析结果的说服力,另一方面便于双方调整优化跨境个人信息种类、跨境的目的和方式。
三是,明确对接收方的安全保障能力进行评估的具体参考内容。
GB/T 39335指出,实施PIA过程中,识别风险源的方式是对安全事件可能性进行判断,本质还是对相关方的安全保障措施进行评估。由于不同评估场景需要评估的安全保障措施有所不同且不可穷尽,GB/T 39335未给出待评估安全保障措施的具体内容,而是从“网络环境和技术措施”“处理流程规范性”“参与人员及第三方”“处理规模和安全态势” 四个方面明确了风险源维度,待评估的安全保障措施由评估人员在具体场景下予以明确。《大湾区标准合同指引》简化了PIA方面的内容,指出评估的内容包括“承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全”,这对于PIA实施人员来说还是偏笼统,缺乏待评估安全保障措施的具体参考内容。
待评估安全保障措施的选择,并非越全越好,越多越好,有的放矢是保证效率和效果的关键,对于粤港跨境PIA来说,建议首先紧密围绕“大湾区标准合同”所提出的“第三条 接收方的义务和责任”进行评估,对于需要展开的评估点(如技术措施、管理措施),建议选择权威性强、相关度高的文件进行参考,比如:
TC260-PG-2023XX 《网络安全实践指南-粤港澳大湾区跨境个人信息保护要求(征求意见稿)》
GB/T 35273-2020 《信息安全技术 个人信息安全规范》
《个人信息保护合规审计参考要点(征求意见稿)》
……
同时,还可考虑以接收方属地特点出发,将国际通用、属地发布的相关标准规范等技术文件作为选择待评估安全保障措施的参考依据。
此外,需要注意的是,虽然《大湾区标准合同指引》中并未提出对个人信息处理者安全保障能力进行评估,但从个人信息跨境的风险源视角出发,个人信息处理者对个人信息跨境的管理、操作规程、日志审计,以及跨境传输的接口安全(如接口异常访问)、循环数链路安全等同样是可能造成个人信息跨境面临安全风险的重要因素,建议在PIA中予以考虑。
基于以上安全保障措施的评估,可进一步分析个人信息跨境的安全风险,一种方法是,采用半定量的方法,参考GB/T 39335,可从“网络环境和技术措施(如接收方系统未修复安全漏洞)”“处理流程规范性(如接收方对个人信息主体行使权利的响应时间过长)”“参与人员及第三方(如接收方向同辖区内第三方提供情况不明)”等方面分析得出安全事件发生的可能性,与对个人信息主体权益影响程度相结合,分析当前采取的个人信息跨境流动安全保护措施是否与安全风险程度相适应;另一种方法是,采用定性分析的方法,结合个人信息跨境情形对个人权益的影响,围绕已采取的安全保障措施,论证是否能够保障跨境提供的个人信息安全。
四、结 语
“自主缔约、备案管理、自行评估”的模式对粤港澳大湾区个人信息安全、自由流动有极大推动作用,同时也开创了组织通过“自合规”即可履行个人信息跨境合规的先例。“自合规”模式下,组织的自律意识格外重要,如未充分履责,一是将导致组织因安全事件所承担的行政处罚后果可能更为严重,二是将对“自合规”模式的持续稳定运行环境带来负面影响。个人信息跨境管理,其本质还是要确保跨境个人信息安全和个人权益得到有效保障,这也是开展PIA的根本目的,对于个人信息处理者和接收方来说,工作流程得到了简化,则更应该从本质入手,投入精力开展高质量PIA,让安全工作“关口前移”,最大程度保护个人权益,让粤港澳大湾区个人信息跨境安全有序流动创造更多价值。
以上内容不当之处,请批评指正。
(本文作者:中国电子技术标准化研究院网安中心 何延哲)
引文参考:
国家互联网信息办公室 “粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引” http://www.cac.gov.cn/2023-12/13/c_1704042786237103.htm
国家互联网信息办公室 “个人信息出境标准合同办法” http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
国家互联网信息办公室 “个人信息出境标准合同备案指南(第一版)” http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
政府资讯科技总监办公室 “促进粤港澳大湾区数据跨境流动”https://www.ogcio.gov.hk/sc/our_work/business/cross-boundary_data_flow/index.html
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。